[РЕШЕНО] Лечение после удаление вирусов

[Kyzmich_Pavel]

Добрый день! Антивирус Касперского обнаружил вирусы:

• not-a-virus:HEUR:RemoteAdmin.Win32.RMS.gen
• not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
• Trojan.Win32.Bingoml.hnbe
• not-a-virus:RemoteAdmin.Win32.RDPWrap.h
• not-a-virus:VHO:RiskTool.Win32.BitCoinMiner.omqt
• Trojan.Win32.Eb.dsi
• UDS:Trojan.Win64.Agentb.a

Были успешно удалены/вылечены. 

 

Прошу помочь, такое ощущение, что имеется со стороны подключение к моему домашнему компьютеру. 

 

Прикрепляю логи от AutoLogger

CollectionLog-2023.01.26-19.43.zip

Изменено 28 января, 2023 пользователем Kyzmich_Pavel
Добавил логи AutoLogger

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Деинсталлируйте Chrome Remote Desktop Host, если сами его не ставили. 

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

Скачайте , запустите AVBR, прикрепите лог утилиты. 

 

Сделайте новые логи Автологгером. 
 

[Kyzmich_Pavel]

Добрый день!

Прикрепляю логи.

Надеюсь все сделал как и просили. 

CollectionLog-2023.01.29-11.55.zip AV_block_remove_2023.01.29-11.41.log

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены как на картинке ниже
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Kyzmich_Pavel]

Прикрепляю логи

Addition.txt FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txtв кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      

   CreateRestorePoint:
   CloseProcesses:
   HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
   GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
   Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   Task: {99FB4FAD-86AE-41A9-A135-5D3A126BC4B4} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.7.0.1841\service_update.exe --repair (Нет файла)
   CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]

   
   
   

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
   

4. Обратите внимание, что компьютер будет перезагружен.
   

[Kyzmich_Pavel]

Прикрепляю. 

Жду Вашего заключения касательно компа.

Fixlog.txt

[mike 1]

Что с проблемой?

[Kyzmich_Pavel]

18 часов назад, mike 1 сказал:

Что с проблемой?

В смысле? 

Вот вирусы были, имеются подозрения, что комп "дырявый" в плане открыты порты, имеются нежелательные подключения и все такое.

 

Собрал как Вы и просили все логи и сделал все рекомендации.

Теперь ожидаю от Вас заключения касательно анализа логов, имеется ли заражение или "следы" вирусов,червей, троянов и прочее. 

 

 

По Журналам Windows имеются Аудит успеха входа на компьютер с кодом 6442 

 

Спойлер

Вход в учетную запись выполнен успешно.

Субъект:
    ИД безопасности:        СИСТЕМА
    Имя учетной записи:        DESKTOP-Q3EK3KC$
    Домен учетной записи:        WORKGROUP
    ИД входа:        0x3E7

Сведения о входе:
    Тип входа:        2
    Ограниченный режим администрирования:    -
    Виртуальная учетная запись:        Нет
    Расширенный маркер:        Да

Уровень олицетворения:        Олицетворение

Новый вход:
    ИД безопасности:        DESKTOP-Q3EK3KC\Kyzmich_Pavel
    Имя учетной записи:        Kyzmich_Pavel
    Домен учетной записи:        DESKTOP-Q3EK3KC
    ИД входа:        0x7FDF6
    Связанный ИД входа:        0x7FE23
    Сетевое имя учетной записи:    -
    Сетевой домен учетной записи:    -
    GUID входа:        {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
    ИД процесса:        0x720
    Имя процесса:        C:\Windows\System32\svchost.exe

Сведения о сети:
    Имя рабочей станции:    DESKTOP-Q3EK3KC
    Сетевой адрес источника:    127.0.0.1
    Порт источника:        0

Подробные сведения о проверке подлинности:
    Процесс входа:        User32 
    Пакет проверки подлинности:    Negotiate
    Промежуточные службы:    -
    Имя пакета (только NTLM):    -
    Длина ключа:        0

 

 

Спойлер

Вход в учетную запись выполнен успешно.

Субъект:
    ИД безопасности:        NULL SID
    Имя учетной записи:        -
    Домен учетной записи:        -
    ИД входа:        0x0

Сведения о входе:
    Тип входа:        0
    Ограниченный режим администрирования:    -
    Виртуальная учетная запись:        Нет
    Расширенный маркер:        Да

Уровень олицетворения:        -

Новый вход:
    ИД безопасности:        СИСТЕМА
    Имя учетной записи:        СИСТЕМА
    Домен учетной записи:        NT AUTHORITY
    ИД входа:        0x3E7
    Связанный ИД входа:        0x0
    Сетевое имя учетной записи:    -
    Сетевой домен учетной записи:    -
    GUID входа:        {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
    ИД процесса:        0x4
    Имя процесса:        

Сведения о сети:
    Имя рабочей станции:    -
    Сетевой адрес источника:    -
    Порт источника:        -

Подробные сведения о проверке подлинности:
    Процесс входа:        -
    Пакет проверки подлинности:    -
    Промежуточные службы:    -
    Имя пакета (только NTLM):    -
    Длина ключа:        0

 

 

Спойлер

Вход в учетную запись выполнен успешно.

Субъект:
    ИД безопасности:        СИСТЕМА
    Имя учетной записи:        DESKTOP-Q3EK3KC$
    Домен учетной записи:        WORKGROUP
    ИД входа:        0x3E7

Сведения о входе:
    Тип входа:        2
    Ограниченный режим администрирования:    -
    Виртуальная учетная запись:        Да
    Расширенный маркер:        Нет

Уровень олицетворения:        Олицетворение

Новый вход:
    ИД безопасности:        S-1-5-90-0-6
    Имя учетной записи:        DWM-6
    Домен учетной записи:        Window Manager
    ИД входа:        0xB8A2BDB
    Связанный ИД входа:        0xB8A2B9C
    Сетевое имя учетной записи:    -
    Сетевой домен учетной записи:    -
    GUID входа:        {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
    ИД процесса:        0x3858
    Имя процесса:        C:\Windows\System32\winlogon.exe

Сведения о сети:
    Имя рабочей станции:    -
    Сетевой адрес источника:    -
    Порт источника:        -

Подробные сведения о проверке подлинности:
    Процесс входа:        Advapi  
    Пакет проверки подлинности:    Negotiate
    Промежуточные службы:    -
    Имя пакета (только NTLM):    -
    Длина ключа:        0

 

 

Может это обычные интерактивные службы ОС и какого-то ПО типа nVIDIA.

 

Прошу помощь так ли это то есть системный некий Аудит входа или "левый"? 

[mike 1]

20 часов назад, Kyzmich_Pavel сказал:

В смысле?

Следы от майнера были подчищены. По логам плохого не видно. 

 

20 часов назад, Kyzmich_Pavel сказал:

По Журналам Windows имеются Аудит успеха входа на компьютер с кодом 6442 

Это нормальные события в вашем случае. 

 

20 часов назад, Kyzmich_Pavel сказал:

Вот вирусы были, имеются подозрения, что комп "дырявый"

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда  и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[Kyzmich_Pavel]

22 часа назад, mike 1 сказал:

Следы от майнера были подчищены. По логам плохого не видно. 

 

Это нормальные события в вашем случае. 

 

 

То есть нормально в моем случае? Поясните пожалуйста для "незнающих".

 

Лог прикрепляю.

SecurityCheck.txt

[mike 1]

В вашем да. 

 

Цитата

Kaspersky Security Cloud (выключен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Security Cloud (отключен)

Уточните, антивирус сами отключили? 

 

Деинсталлируйте нежелательное ПО - Кнопка "Яндекс" на панели задач v.2.2.2.55

[Kyzmich_Pavel]

8 минут назад, mike 1 сказал:

В вашем да. 

То есть я могу спокойным быть касательно логов Аудита на компьютер? 

 

Уточните, антивирус сами отключили? 

Да, антивирус сам отключил на время  работы SecurityCheck

 

Деинсталлируйте нежелательное ПО - Кнопка "Яндекс" на панели задач v.2.2.2.55

Ок.

 

[mike 1]

Да.

[Kyzmich_Pavel]

5 минут назад, mike 1 сказал:

Да.

Спасибо Вам огромное за помощь!!!!